浪潮服务器RAID5磁盘阵列VMFS文件系统下虚拟机误删除数据恢复

浙江某地客户电话联系说有一台浪潮服务器虚拟机被误删除了，经过与多名IT工程师的沟通，了解了如下信息：浪潮服务器由八块2T的SAS固态硬盘组的raid5阵列，可能是VMware ESXi 7.0管理程序，文件系统可能是VMFS6，虚拟机操作系统是CentOS7，数据磁盘应该采用的是厚置备，没有快照。固态硬盘删除格式化后虽然有可能导致底层扇区清零，但由于组了raid5，在阵列卡管理下不一定会扇区清零，因此判断还是有很大希望能恢复的。

第二天一大早客户坐动车把硬盘送到杭州数据恢复中心来处理，发现是东芝2.5寸的SAS机械硬盘，经过检测是2块600G硬盘组的raid1阵列，6块1.2T硬盘组的raid5阵列。虚拟机被误删除后，又新建了一个新的同名虚拟机，还安装了系统，配置了磁盘。客户取出硬盘前先做了数据迁移备份，但完成后把里面几乎原来所有其他虚拟机删掉了。这样貌似数据是安全了，但对于我们来说存在很多删除的虚拟机，分析起来会有很多干扰。

由于非常着急，客户要求不做镜像备份直接分析恢复，我们先分析raid条带大小及走向等信息，虚拟重组出原始的磁盘阵列，然后对整个磁盘进行虚拟机搜索查找，一共找到了二十多个Linux和Windows的vmdk虚拟磁盘。把所有的Linux分区虚拟磁盘全部恢复出来，再进行数据比对，成功找到了客户描述的那一台删除的虚拟机，100G的系统磁盘和1T的数据磁盘。经过多种方式的核验，数据是正常的，但数据的截止日期却是半年前的。

后期又跟客户进行了沟通，客户回忆说那个时间点做过一次服务器空间扩容。我们判断客户当时并不是直接扩容的，而是在扩容之前做了快照，后面产生的新数据都在快照里，而且也确实分析找到了一个1.5T的快照信息。由于快照被删除以后，索引会被清掉，而且数据会碎片杂乱，没有正常的结构，因此基本无法恢复。最终判断这台虚拟机只能恢复到这个时间点，没法恢复到最新日期，也就意味着近半年的数据丢失了。

服务器是某医院的，虚拟机里都是医院病人的资料数据，虽然不完整，但客户觉得还是有价值的，表示能接受。最后我们手工重建了配置文件，成功修复并启动了虚拟机测试，数据经过客户验证没有问题。无论是企业级的VMware ESXi还是桌面级的VMware Workstation，虚拟机删除了总体来说是非常麻烦的，能否完美恢复数据要考虑多种因素，因此相关人员在操作的时候一定要小心谨慎，以免造成不可逆的数据损失。